Experts Unveil Cyber Espionage Attacks by CopyKittens Hackers
최근 보안연구원들이 주로 여러 국가의 정부, 국방 및 학술기관에서 일하는 사람들을 타겟으로 하는 새로운 악성코드 캠페인을 발견하였습니다.
이번에 발견된 악성코드 캠페인은 이란과 관련있는 그룹의 소행으로 추정됩니다.
CopyKittens(Rocket Kittens라고도 함)으로 명명 된 이 해킹 그룹은 지난 2013년부터 이스라엘, 사우디아라비아, 터키, 미국, 요르단, 독일의 외교관들, 연구원들을 포함한 조직들, 개인들을 노리기 시작했습니다.
이 조직의 주요 공격 대상은 외무부, 방위산업체, 대형 IT 기업들, 학술 기관, 국방부의 하청업체, 시 당국과 같은 정부 기관들 및 UN 직원들이었습니다.
"Operation Wilted Tulip" 보고서에는 이 해킹 그룹이 사용한 다양한 툴들 및 공격전략, C&C 인프라, 그룹 작업방식 등에 대한 자세한 내용이 포함되어 있습니다.
CopyKittens가 공격대상을 감염시키는 방법
이 그룹은 공격대상을 성공적으로 감염시키기 위해 워터링 홀 등의 여러가지 공격방식을 사용하였습니다.
- 공격자가 제어하는 웹사이트로의 악성 링크를 포함한 이메일 전송
- 최근 발견 된 취약점인 CVE-2017-0199를 악용하는 무기화 된 오피스 문서
- 취약점 스캐너 및 Havij, sqlmap, Acunetix와 같은 SQLi 툴을 이용한 웹 서버 악용
- 가짜 소셜 미디어 계정을 만들어 타겟과 신뢰를 쌓은 후 악성 링크 유포
공격대상을 감염시키기 위해 CopyKittens는 Red Team 소프트웨어의 Cobalt Strike, Metasploit, post-exploitation agent Empire, TDTESS 백도어, Mimikatz와 같은 상용 툴과 함께 자신들이 직접 제작한 악성 툴을 사용했습니다.
Matryoshka라고 명명된 악성코드는 이 그룹이 자체적으로 개발한 악성코드로, C&C 통신을 위한 DNS 를 사용하여 패스워드를 탈취하며, 스크린샷 캡쳐, 키로깅, 파일 수집 및 업로드 등의 악성행위를 하며, Meterpreter shell을 이용하여 공격자의 접속을 허용합니다.
Matryoshka는 문서가 첨부 된 스피어피싱을 통해 유포되며, 첨부된 문서에는 악성 매크로가 포함되어 있거나, 실행 파일이 내장되어 있습니다.
사용자들은 웹 메일 계정의 해킹 사고를 방지하기 위해 이중인증 기능을 활성화 하는 것이 좋습니다.
출처 :
http://thehackernews.com/2017/07/opykittens-cyber-espionage.html
http://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf
CIA가 개발한 MacOS 및 Linux용 해킹 툴 3개 공개 돼 (0) | 2017.07.28 |
---|---|
러시아, 극단주의 컨텐츠를 몰아내기 위해 프록시 서비스 및 VPN 금지시켜 (0) | 2017.07.27 |
Tor를 기반으로 통신하는 메신저앱, Briar (0) | 2017.07.26 |
애플 사용자들은 조심하세요! 탐지가 거의 불가능한 악성코드, Mac 컴퓨터 노려 (0) | 2017.07.26 |
스웨덴, 실수로 거의 모든 시민들의 개인 정보 유출 (0) | 2017.07.26 |
댓글 영역